最好的防御 · XSS 蠕蟲 & 病毒

# 最好的防御在過去超過十年的時間里，反病毒界一直依賴于快速的反應時間來限制蠕蟲和病毒所造成的損害。隨著新一代的惡意軟件的飛速發展，在事件被穩定前，可能會損失數百萬，甚至數十億美元。這種情況要求我們將采取步驟，確定疫情的發生和防止問題的發生放在第一位。以下是為了限制這些新品種的病毒和蠕蟲的影響而為用戶，開發人員，安全專家和瀏覽器廠商提供的明確的步驟： ## 用戶 1\．點擊鏈接發送電子郵件或即時消息時一定要謹慎。可疑的過長鏈接，尤其是那些看起來像是包含 HTML 代碼的鏈接。如果有疑問，手動輸入網址到您的瀏覽器地址欄進行訪問。 2\．對于 XSS 漏洞，沒有網絡瀏覽器有一個明顯的安全優勢。話雖如此，但作者喜歡 Firefox 瀏覽器。為了獲得額外的安全性，可以考慮安裝一些瀏覽器插件，如 NoScript25（Firefox 擴展插件）或 Netcraft 工具欄 26。 3\．雖然不是 100％有效，但是避開可疑網站，如那些提供黑客自動化工具，warez，或色情的網站是明智的。 ## 開發者 1\. 對于開發人員來說，首先需要注意的是應該對所有用戶提交的內容執行堅如磐石輸入驗證。這包括網址，查詢字符串，header，POST 數據等所有用戶提交的內容。只接受您所希望的字符，在您指定的長度內，和指定的相應的數據的格式。組織，過濾，或忽略一切。 2\. 保護被自動執行或來自第三方網站執行的所有敏感功能。在適當的情況使用會話令牌 27、驗證碼 28 系統或者 HTTP 引用頭檢查。 3\. 如果您的網站必須支持用戶提供的 HTML，那么你是處在一個安全明智的下滑坡。然而，也有一些事情可以做，來保護您的網站。請確保您收到的 HTML 內容是良好的，只包含最少的一組安全標簽（絕對沒有 JavaScript），沒有包含任何引用遠程的內容（尤其是樣式表和 JavaScript）。而且，為了多一點的安全性，請將 httpOnly29 添加到您的 cookie ## 安全專家 1\. 只有一種方法才能確定您的安全做法提供了足夠的保障，那就是經常測試他們。在黑客攻擊網站前了解你的漏洞是是至關重要的。要做到這一點，網站的脆弱性評估是要進行的。報告應提供一個對您的網站的安全的全面的審視，并描述他們如何應對和進行模擬攻擊。WhiteHat Security 提供了一個以 Web 安全威脅分類（WASC）為測試標準的自動化的漏洞掃描與專家驅動分析的組合方法。 2\. 正確地評估一個網站的安全性可能需要幾十個，數以百計，數以千計的安全測試。許多需要手工完成。這就是為什么 WhiteHat 的 Sentinel 在這樣的服務的過程中是一個重要組成部分。源代碼和黑盒子掃描產品可以減少人員在開發階段中測試 Web 應用程序的時間。 3\. 當您的網站絕對沒有任何問題了，考慮 Web 應用防火墻（WAF）作為一個額外的防御層。它們可以用來配置用您的網站的規則并強有力的執行。任何超出規則外的行為將被阻止或者記錄。由于這些設備大多是高度多樣化和復雜，可以考慮使用 Web 應用防火墻評價標準（WAFEC）作為比較的工具。 ## 瀏覽器廠商 1\. Mozilla（火狐），微軟和 Opera 開發團隊必須開始正式實施內容限制。現實的情況是，等待 Web 應用軟件減少 XSS 漏洞的任何一種方法都是是不現實的，更不用說減少了 100％。 2\. Mozilla(Firefox)開發者，請執行 httpOnly，它已經出現這么多年了。